27002” Especialización Gestión y Seguridad de Bases de Datos Sena Virtual
Luis Alfredo Pinzón Cuartas
20/06/2019 NORMA ISO/IEC 27002
La norma ISO 27002 proporciona diferentes recomendaciones de las mejores
prácticas en la gestión de seguridad de la información a todos los interesados y responsables para iniciar, implementar o mantener sistemas de gestión de la seguridad de la información. La seguridad de la información se define en el estándar como “la preservación de la confidencialidad, integridad y disponibilidad. ISO 27002 hace parte del conjunto de normas que conforman la serie ISO/IEC 27000 en las que se reúnen las mejores prácticas para desarrollar, implementar y mantener sistemas de gestión de seguridad de información. La norma ISO 27002 se compone de 11 dominios (del 5 al 15), 39 objetivos de control y 133 controles; que están distribuidos como se observa en la siguiente estructura: 1. Políticas de seguridad: es la que define la documentación de todos los procedimientos internos de la organización, para que sirvan de soporte para los comités de seguridad que revisa y actualiza cada procedimiento.
2. Estructura organizativa para la seguridad: como su nombre lo indica es
la parte donde se estructuran la documentación de las políticas de seguridad generando expectativa sobre la seguridad.
3. Clasificación y control de activos: en esta parte se elaboran los
Inventarios de cada activo que se relacione con recursos informáticos, generando un etiquetado con rangos según su confidencialidad, como por ejemplo los Computadoras, Bases de Datos, Documentación, Equipos de red entre otros.
4. Seguridad en el personal: se aclara con el personal, que tiene a cargo
información netamente de la organización que esta es confidencial y que debe acatar las normas de seguridad de la información no revelando ni extrayendo dicha información. Siguiendo procesos adecuados para la manipulación de la información y causas del incumplimiento de esta.
5. Seguridad física y del entorno: es donde se elaboran las medidas
necesarias para la protección de equipos y software, de manera que cada activo este resguardado ante cualquier tipo de eventualidad que se ocasione ya sea por la naturaleza o por manipulación humana.
6. Gestión de comunicaciones y operaciones: en este ítem se busca
generar procedimiento para la infraestructura tecnológica y de control de seguridad debidamente documentada, ya sea desde cambios, configuraciones, advertencias, administración, etc…
7. Control de accesos: para ello se realiza control de cada proceso de
manera que pueda ser monitoreando, creando perfiles, accesos a activos distintos a la organización.
8. Desarrollo y mantenimiento de sistemas: donde se estipula
procedimientos para garantizar calidad y seguridad de cada sistema creado para cada proceso o tarea.
9. Gestión de continuidad del negocios: se debe contar con planes de
respaldo para cualquier eventualidad ante desastres o manipulación indebida, asegurando que siempre se cuente con la continuidad de los servicios mas primordiales. 10. Cumplimiento o conformidad de la legislación: es la parte jurídica del cumplimiento de la norma donde se estipulen, requisitos, contratos, convenios los cuales involucren a todas las partes para tener una formalización adecuada.
Objeto de la Auditoria
Evaluar el estado Actual de la organización bajo la norma 27002.
Revisar condiciones de seguridad y generar una evaluación de la misma. Generar plan de mejora para los hallazgos bajo la norma.
Auditoria Hallazgos Encontrados:
Al realizar la evaluación de la organización se encontró que hay procesos creados
de forma adecuada y algunos que aún no existen y podrían mejorar la situación actual de la organización para ello se genera una lista de Aspectos Conformes y No Conformes, los cuales tienen como fin, estipular las faltas que se deben tomar acciones inmediatas para subir los estándares evaluados. Conformidades: Se identifican que se cuenta con un estricto manejo de control de acceso a personal a la organización ya sea Personal vinculado o Estudiantes.
La infraestructura está ubicada en áreas idóneas y de forma
correspondiente a su referencia y ubicación del inventario.
Los Activos se distribuyen de forma que se identifican los perfiles de
prioridad que tienen como Servidores, Equipos Administradores, Documentación física, se encuentran debidamente aseguradas.
Los Activos se encuentran en buenas condiciones para su uso diario como
los Computadores, Equipos de Red, impresoras, etc… y debidamente etiquetados.
Cada equipo cuenta con su licenciamiento para operar de manera
adecuada, y se evidencia protección contra Software malintencionado como Virus, y accesos no autorizados. No Conformidades: o Se recomienda que la política de seguridad se especifique los procedimientos completos para el uso de las herramientas de la empresa.
o Se establece que se deben realizar más control con los acuerdos de
confidencialidad, y procedimientos con las autoridades competentes ante la violación de los mismos.
o Se recomienda adquirir más control sobre los Activos que no tienen
control de Administradores, y en los mismos se puede Manipular información de la organización.
o Realizar Monitoreo constante de la Información que se genera y se
resguarda en los equipos con menor perfil.
o Generar Copias de Seguridad de manera más continua para evitar
pérdidas de información ante alguna eventualidad.
o Realizar más control de acceso a máquinas de Administradores
como roles de cada usuario.
o Control de Adquisiciones de la organización tanto como de software
y Hardware de los equipos, y realizar mantenimientos de aplicaciones instaladas por terceros no licenciadas.
o Uso de Restricciones de Paginas no recomendables para la
búsqueda en los equipos como la utilización de protección de Datos sensibles en cada equipo.
o Se recomienda el control con el acceso de la red de dispositivos
móviles y dispositivos no registrados para la conexión WIFI.
o Se establece que se debe contar con atención a fallas en tiempo real
para evitar problemas de pérdida de información de manera secuencial creando procedimiento de atención y seguimiento de fallos.